CN115459965A - 一种面向电力系统网络安全的多步攻击检测方法 - Google Patents
一种面向电力系统网络安全的多步攻击检测方法 Download PDFInfo
- Publication number
- CN115459965A CN115459965A CN202211014966.1A CN202211014966A CN115459965A CN 115459965 A CN115459965 A CN 115459965A CN 202211014966 A CN202211014966 A CN 202211014966A CN 115459965 A CN115459965 A CN 115459965A
- Authority
- CN
- China
- Prior art keywords
- attack
- power system
- alarm information
- alarm
- network security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 61
- 230000006399 behavior Effects 0.000 claims abstract description 32
- 230000001364 causal effect Effects 0.000 claims abstract description 23
- 230000002776 aggregation Effects 0.000 claims abstract description 9
- 238000004220 aggregation Methods 0.000 claims abstract description 9
- 230000004927 fusion Effects 0.000 claims abstract description 9
- 238000000034 method Methods 0.000 claims description 13
- 230000004931 aggregating effect Effects 0.000 claims description 6
- 230000008569 process Effects 0.000 claims description 6
- 230000009471 action Effects 0.000 claims description 4
- 230000000694 effects Effects 0.000 claims description 4
- 230000008030 elimination Effects 0.000 claims description 3
- 238000003379 elimination reaction Methods 0.000 claims description 3
- 238000004458 analytical method Methods 0.000 abstract description 13
- 230000008901 benefit Effects 0.000 abstract description 5
- 238000005065 mining Methods 0.000 abstract description 5
- 238000012216 screening Methods 0.000 abstract description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000010219 correlation analysis Methods 0.000 description 2
- 230000000875 corresponding effect Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000004904 shortening Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 238000012098 association analyses Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000007418 data mining Methods 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000003062 neural network model Methods 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000011897 real-time detection Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 231100000279 safety data Toxicity 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
- H04L41/065—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis involving logical or physical relationship, e.g. grouping and hierarchies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络安全技术领域,且公开了一种面向电力系统网络安全的多步攻击检测方法,包括以下步骤:多源异构告警数据的匹配和融合;告警信息的聚合与关联;基于因果知识和时空规则的攻击链模板抽取;基于攻击链模板和时空规则约束的多步攻击检测。本发明将不同入侵检测系统按照ATT&CK框架对攻击行为进行融合,解决不同入侵检测系统在攻击知识库方面异构的问题;对原始的告警信息进行特征筛选和重构,形成统一的十元组形式的告警日志,便于综合分析,以充分发挥不同入侵检测系统融合的优势;对告警信息根据地址相关性进行聚合,得到不同类簇,将不同的攻击行为独立划分,有利于针对不同类簇的数据并行挖掘和分析,可提高系统分析的速率。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种面向电力系统网络安全的多步攻击检测方法。
背景技术
随着信息化的推进和发展,网络已成为现代社会不可或缺的元素,而网络安全也日益受到国家层面的高度重视。随着电力行业数字化、自动化程度越来越高,人们在享受信息技术发展给电力行业带来便利的同时,也有不法分子通过网络攻击手段对电力系统进行攻击尝试,这样潜在的安全威胁可造成严重的后果;
网络攻击通常被定义为一种尝试去破坏、暴露、修改、使设备失去功能、窃取以及获取未授权许可或者非法使用资产的行为。而攻击术语大部分代表的是单步攻击,比如SQL注入攻击,这些攻击行为仅有一个攻击动作。复杂攻击由至少两个单步攻击按特定顺序组成,并且可能由一个或多个攻击者同时向某一特定的对象发起。例如目前许多高等教育机构、金融企业以及政府机构所遭受的高级持续威胁(advanced persistent threat,APT)便属于多步攻击的范畴。APT攻击具有高度的目的性、隐蔽性和危害性,攻击手段复杂多变,持续时间较长;
基于攻击图的多步攻击检测方法通过从大量告警信息中挖掘关联关系,发现攻击路径,达到重现攻击场景的目的,此类方法受专家知识的限制,难以检测未知攻击。基于神经网络的方法则是通过神经网络模型从海量的告警信息中挖掘未知的攻击路径。但是此类方法存在模型不可解释的问题,导致可能存在较高的误检率、漏报率。与此同时,告警数据的处理也面临巨大挑战:首先告警信息的规模巨大,一个入侵检测系统每天产生的告警可能达到数百万条,其中存在很多误报信息和冗余告警信息,需要对这些告警信息进行筛选,从中找到最有价值的告警信息;其次,不同的入侵检测系统有不同的知识库,其发出的告警信息存在格式、描述上的不一致,不利于综合分析,难以充分发挥不同入侵检测系统融合的优势。
发明内容
本发明的目的在于提供一种面向电力系统网络安全的多步攻击检测方法,以解决背景技术中的问题。
为实现上述目的,本发明提供如下技术方案:
一种面向电力系统网络安全的多步攻击检测方法,包括以下步骤:
S1:多源异构告警数据的匹配和融合;
S2:告警信息的聚合与关联;
S3:基于因果知识和时空规则的攻击链模板抽取;
S4:基于攻击链模板和时空规则约束的多步攻击检测。
优选的,S1中告警信息为十元组形式:Ai=(ID,type,Starttime,Endtime, s_IP,s_Port,d_IP,d_Port,protocol,priority)。
优选的,Ai表示第i个告警信息,ID表示告警编号,type代表攻击类型,第j种攻击表示为aj,Starttime代表入侵检测系统检测到攻击行为的开始时间,Endtime代表检测到的攻击行为结束时间,s_IP、s_Port代表攻击事件的源IP、端口号,d_IP、d_Port代表攻击的目标IP、端口号,protocol代表攻击行为所使用的协议,priority代表告警的级别。
优选的,S1中告警信息的融合是对不同设备产生的告警信息进行聚合的过程,包括数据消歧、去重等,在对不同设备的告警信息进行汇总,按照定义的告警信息格式将所有的告警信息统一为既定格式,随后对告警信息进行融合
告警信息的融合是对不同设备产生的告警信息进行聚合的过程,包括数据消歧、去重等。由于不同设备检测到同一攻击后发出的告警信息可能并不相同,为了提高告警信息的质量,本发明按照知识库与不同设备知识体系的映射关系,将不同表述但代表同一攻击行为的告警信息融合为一种告警信息,因此减少告警信息的复杂程度,缩减告警序列长度。
优选的,S2是对处理后的告警序列进行聚合,目的是过滤重复冗余的告警信息,合并相似告警,减少告警的数量。
优选的,S3中因果关系是从攻击者的角度看,其所进行的攻击行动都是为下一步的攻击做铺垫,最终一步一步达到自己的目的,所以攻击步骤之间存在极强的逻辑因果关系,S3中时空规则是从时间和空间两个维度对攻击链进行约束,因果知识是因果关系的形式化表示,通过因果知识对攻击链进行过滤,可以过滤掉不符合逻辑因果关系的攻击链。
优选的,时间维度的限制主要体现在两个方面:第一方面是攻击行为的发生时间和结束时间符合既定的先后顺序,第二个方面是对两次攻击行为的时间跨度进行限制,结合电力系统历史攻击事件的记录判断多步攻击行为存在的活动时间,以此为依据设置一个时间阈值作为重建攻击场景的时间约束。
优选的,空间维度上是根据电力系统本身的网络拓扑、资产以及漏洞信息等设置约束规则,通过因果关系和时空规则对攻击链模板进行约束,得到的攻击链模板更加准确,也更符合实际情况。
本发明提供了面向电力系统网络安全的多步攻击检测方法。该面向电力系统网络安全的多步攻击检测方法具备以下有益效果:
(1)、该面向电力系统网络安全的多步攻击检测方法,将不同入侵检测系统按照ATT&CK框架对攻击行为进行融合,解决不同入侵检测系统在攻击知识库方面异构的问题;
(2)、该面向电力系统网络安全的多步攻击检测方法,对原始的告警信息进行特征筛选和重构,形成统一的十元组形式的告警日志,便于综合分析,以充分发挥不同入侵检测系统融合的优势;
(3)、该面向电力系统网络安全的多步攻击检测方法,对告警信息根据地址相关性进行聚合,得到不同类簇,将不同的攻击行为独立划分,有利于针对不同类簇的数据并行挖掘和分析,可提高系统分析的速率;
(4)、该面向电力系统网络安全的多步攻击检测方法,根据因果关系对告警信息进行关联,并通过时空规则进行约束,检测攻击路径,重构攻击场景,形成基于攻击链匹配和分析的多步攻击检测,降低对专家知识的依赖同时具有可解释性的优势。
附图说明
图1为本发明实施例多步攻击检测方法的流程示意图。
具体实施方式
参见图1,本发明实施例提供的面向电力系统网络安全的多步攻击检测方法,包括以下步骤:
S1:多源异构告警数据的匹配和融合:
目前现有的入侵检测设备种类多样,如开源的入侵检测系统,专业安全厂商销售的入侵检测设备等。在实际系统的安全维护中,为了提升检测准确率,一般会部署多种入侵检测系统。不同入侵检测系统或设备发出的告警信息质量参差不齐,格式存在差异,在不同知识体系下对告警信息进行综合分析会极大增加工作量和难度。因此本发明引入近几年行业普遍认可的ATT&CK 作为标准知识库,结合电力系统安全数据,建立电力领域的知识体系。ATT&CK 是MITRE公司提供的网络安全对抗战术、技术和常识框架,是对现实世界攻击者的观察总结出的战术和知识库,ATT&CK拥有较为完整的攻击知识体系且处于动态更新中,可以把其作为标准知识库,将不同设备厂商定义的攻击知识与之映射起来,统一命名ID、攻击描述等关键信息,并利用ATT&CK中的知识对厂商的攻击知识进行补充。本发明同时根据电力系统特有的特征,比如电能调度设备所遭受过的攻击事件,对这些知识着重标注和记录,最终形成一个具有鲜明电力系统特征的知识体系。
本发明定义告警信息为十元组形式:Ai=(ID,type,Starttime,Endtime, s_IP,s_Port,d_IP,d_Port,protocol,priority),其中,Ai表示第i个告警信息,ID表示告警编号,type代表攻击类型,第j种攻击表示为aj, Starttime代表入侵检测系统检测到攻击行为的开始时间,Endtime代表检测到的攻击行为结束时间,s_IP、s_Port代表攻击事件的源IP、端口号,d_IP、 d_Port代表攻击的目标IP、端口号,protocol代表攻击行为所使用的协议, priority代表告警的级别。
在对不同设备的告警信息进行汇总,按照定义的告警信息格式将所有的告警信息统一为既定格式,随后对告警信息进行融合。
告警信息的融合是对不同设备产生的告警信息进行聚合的过程,包括数据消歧、去重等。由于不同设备检测到同一攻击后发出的告警信息可能并不相同,为了提高告警信息的质量,本发明按照知识库与不同设备知识体系的映射关系,将不同表述但代表同一攻击行为的告警信息融合为一种告警信息,因此减少告警信息的复杂程度,缩减告警序列长度。
S2:告警信息的聚合与关联:
对处理后的告警序列进行聚合,目的是过滤重复冗余的告警信息,合并相似告警,减少告警的数量。通过对告警序列的分析可知,每条告警信息代表着从源IP到目的IP的一次攻击行为,同时存在告警信息Ai的s_IP和告警信息Aj的s_IP是同一IP地址的情况。在一定大小的时间窗口内,通过s_IP 对告警信息进行分类,每个类簇代表某一IP地址的主机对其他IP地址设备发动的攻击行为序列,然后对每个类簇内的告警信息进行聚合,达到减少告警信息冗余重复的目的。
假设在时间窗口W内,攻击序列中存在一系列具有相同s_IP、d_IP和Type 的告警信息A1、A2、…、An,如果在这期间没有发生其他类型的攻击,可以认为这些告警信息代表了一个攻击行为,可进行聚合操作,聚合操作即对 Endtime属性进行合并,如将An的结束时间覆盖A1的结束时间,并删除 A2、…、An;
例如在整个网络中,假设某类簇存在告警信息序列如表2.1。序列表中存在四个告警信息,告警1、2、3拥有相同的s_IP、d_IP、Type,可认为其属于同一个攻击事件,所以这三个告警信息是冗余的,然后可对其进行聚合,将告警3的结束时间覆盖告警1的结束时间并将告警2、3从序列中删除,告警数量从四个变为两个,且不存在告警信息的丢失。聚合后的告警信息序列如表2.2所示:
表2.1原始告警信息序列
表2.2聚合后的告警信息序列
在此基础上对所有告警信息进行关联分析,总结出攻击行为模板,挖掘攻击模式或场景。
首先对处理后的类簇进行建模,构建告警树状图,然后可利用深度遍历得到潜在的攻击链。通过深度遍历可从告警序列抽取出攻击链,可包含各种攻击场景,但由于数据量规模很大,会存在各种并不符合实际攻击场景的攻击链,价值密度较低,会降低分析效率,同时会产生更多漏报或误报。所以在得到大量攻击链后,需要通过制定一些约束规则对攻击链进行筛选,本发明通过因果知识和时空规则对攻击链进行进一步约束,从而从已发生攻击事件的告警信息中抽取出用于指导多步攻击检测的攻击链模板。
S3:基于因果知识和时空规则的攻击链模板抽取:
从攻击者的角度看,其所进行的攻击行动都是为下一步的攻击做铺垫,最终一步一步达到自己的目的,所以攻击步骤之间存在极强的逻辑因果关系。因果知识是因果关系的形式化表示,通过因果知识对攻击链进行过滤,可以过滤掉不符合逻辑因果关系的攻击链。
一般而言,因果知识可通过谓词逻辑、贝叶斯网络、马尔可夫链等进行建模,但上述方法都是通过预定义的方式建模,对专家知识具有较强的依赖性,无法发现未知的攻击模式或场景,而且建模的代价较大。本发明通过数据挖掘的方式从实际攻击事件对应的告警数据中挖掘因果知识,可解决上述问题。
除了通过因果关系对攻击链进行筛选,本发明利用时空规则对攻击链进行约束和优化,得到更加真实有效的攻击模板。其中,时空规则可从时间和空间两个维度对攻击链进行约束,分析人员可根据电力系统的实际情况,制定具体的时空规则。
时间维度的限制主要体现在两个方面,第一方面是攻击行为的发生时间和结束时间符合既定的先后顺序,假设存在攻击链<A1,A2>且A1先于A2产生,即A1.Starttime<A2.Starttime,如果告警序列不符合响应规则,可认为未形成攻击链。
其次,对两次攻击行为的时间跨度进行限制,结合电力系统历史攻击事件的记录判断多步攻击行为存在的活动时间,以此为依据设置一个时间阈值作为重建攻击场景的时间约束。
空间维度上根据电力系统本身的网络拓扑、资产以及漏洞信息等设置约束规则,例如攻击链中两个相邻单步攻击的IP需要在同一个域或者网段中,发生的攻击行为与相应的IP地址主机的系统漏洞存在利用关系等。
通过因果关系和时空规则对攻击链模板进行约束,得到的攻击链模板更加准确,也更符合实际情况;
S4:基于攻击链模板和时空规则约束的多步攻击检测:
通过对历史告警信息序列关联分析得到攻击链模板后,便可使用这些模板对实时的告警数据流进行匹配和检测。对于实时收集到的告警序列,经过匹配、融合和聚合处理后,通过上文中提到的时空规则进一步筛选,获得精简的告警序列。
在进行攻击链匹配的过程中会不可避免地出现因入侵检测设备漏报所造成的攻击步骤缺失,对于这种可能存在的攻击场景,对攻击链进行补全。具体而言,本发明利用每个告警信息的priority属性计算每个攻击链条的风险等级,当攻击链出现某一部分单步攻击缺失的情况,根据攻击链模板进行补全,但降低缺失部分的priority属性值,最终计算出来的风险等级会一定程度下降,这样既达到了检测多步攻击行为的目的,也会让分析人员优先处理风险等级更高的多步攻击行为。
随着告警数据规模的不断扩大,攻击链模板可能无法满足复杂多步攻击检测的需求,未来可采用知识图谱的方法,构建大规模网安知识图谱和针对复杂多步攻击的子图谱,通过子图匹配的方式进行告警关联分析和多步攻击检测,从而提升针对多步攻击检测的准确率。
该面向电力系统网络安全的多步攻击检测方法在使用时,首先是针对多个入侵检测系统产生的告警信息的预处理,然后是构建攻击链模板以及告警实时检测,最后基于攻击链和时空约束规则进行多步攻击检测。
本发明上述实施例将不同入侵检测系统按照ATT&CK框架对攻击行为进行融合,解决不同入侵检测系统在攻击知识库方面异构的问题;对原始的告警信息进行特征筛选和重构,形成统一的十元组形式的告警日志,便于综合分析,以充分发挥不同入侵检测系统融合的优势;对告警信息根据地址相关性进行聚合,得到不同类簇,将不同的攻击行为独立划分,有利于针对不同类簇的数据并行挖掘和分析,可提高系统分析的速率。
以上结合附图对本发明的实施方式作了详细说明,但本发明不限于所描述的实施方式。对于本领域的技术人员而言,在不脱离本发明原理和精神的情况下,对这些实施方式进行多种变化、修改、替换和变型,仍落入本发明的保护范围内。
Claims (8)
1.一种面向电力系统网络安全的多步攻击检测方法,其特征在于,其包括以下步骤:
S1:多源异构告警数据的匹配和融合;
S2:告警信息的聚合与关联;
S3:基于因果知识和时空规则的攻击链模板抽取;
S4:基于攻击链模板和时空规则约束的多步攻击检测。
2.根据权利要求1所述的面向电力系统网络安全的多步攻击检测方法,其特征在于:S1中告警信息为十元组形式:Ai=(ID,type,Starttime,Endtime,s_IP,s_Port,d_IP,d_Port,protocol,priority)。
3.根据权利要求2所述的面向电力系统网络安全的多步攻击检测方法,其特征在于:Ai表示第i个告警信息,ID表示告警编号,type代表攻击类型,第j种攻击表示为aj,Starttime代表入侵检测系统检测到攻击行为的开始时间,Endtime代表检测到的攻击行为结束时间,s_IP、s_Port代表攻击事件的源IP、端口号,d_IP、d_Port代表攻击的目标IP、端口号,protocol代表攻击行为所使用的协议,priority代表告警的级别。
4.根据权利要求1所述的面向电力系统网络安全的多步攻击检测方法,其特征在于:S1中告警信息的融合是对不同设备产生的告警信息进行聚合的过程,包括数据消歧、去重等。
5.根据权利要求1所述的面向电力系统网络安全的多步攻击检测方法,其特征在于:S2是对处理后的告警序列进行聚合。
6.根据权利要求1所述的面向电力系统网络安全的多步攻击检测方法,其特征在于:S3中因果关系是从攻击者的角度看,其所进行的攻击行动都是为下一步的攻击做铺垫,最终一步一步达到自己的目的,所以攻击步骤之间存在极强的逻辑因果关系,S3中时空规则是从时间和空间两个维度对攻击链进行约束。
7.根据权利要求6所述的面向电力系统网络安全的多步攻击检测方法,其特征在于:时间维度的限制主要体现在两个方面:第一方面是攻击行为的发生时间和结束时间符合既定的先后顺序,第二个方面是对两次攻击行为的时间跨度进行限制,结合电力系统历史攻击事件的记录判断多步攻击行为存在的活动时间,以此为依据设置一个时间阈值作为重建攻击场景的时间约束。
8.根据权利要求6所述的面向电力系统网络安全的多步攻击检测方法,其特征在于:空间维度上是根据电力系统本身的网络拓扑、资产以及漏洞信息等设置约束规则。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211014966.1A CN115459965A (zh) | 2022-08-23 | 2022-08-23 | 一种面向电力系统网络安全的多步攻击检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211014966.1A CN115459965A (zh) | 2022-08-23 | 2022-08-23 | 一种面向电力系统网络安全的多步攻击检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115459965A true CN115459965A (zh) | 2022-12-09 |
Family
ID=84297657
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211014966.1A Pending CN115459965A (zh) | 2022-08-23 | 2022-08-23 | 一种面向电力系统网络安全的多步攻击检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115459965A (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115801458A (zh) * | 2023-02-02 | 2023-03-14 | 南京赛宁信息技术有限公司 | 一种针对多步攻击的实时攻击场景重构方法、系统与设备 |
CN115842684A (zh) * | 2023-02-21 | 2023-03-24 | 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) | 一种基于mdata子图匹配的多步攻击检测方法 |
CN116318929A (zh) * | 2023-03-07 | 2023-06-23 | 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) | 一种基于安全告警数据的攻击策略抽取方法 |
CN116756272A (zh) * | 2023-06-20 | 2023-09-15 | 广州大学 | 面向中文威胁报告的att&ck模型映射方法及装置 |
CN116781429A (zh) * | 2023-08-24 | 2023-09-19 | 国网冀北电力有限公司 | 一种电力系统隐形攻击的检测方法、装置及设备 |
CN117220961A (zh) * | 2023-09-20 | 2023-12-12 | 中国电子科技集团公司第十五研究所 | 一种基于关联规则图谱的入侵检测方法及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104506354A (zh) * | 2014-12-24 | 2015-04-08 | 云南电力调度控制中心 | 一种基于半实物仿真的数据网风险评估方法 |
CN110213077A (zh) * | 2019-04-18 | 2019-09-06 | 国家电网有限公司 | 一种确定电力监控系统安全事件的方法、装置及系统 |
CN111541661A (zh) * | 2020-04-15 | 2020-08-14 | 全球能源互联网研究院有限公司 | 基于因果知识的电力信息网络攻击场景重构方法及系统 |
-
2022
- 2022-08-23 CN CN202211014966.1A patent/CN115459965A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104506354A (zh) * | 2014-12-24 | 2015-04-08 | 云南电力调度控制中心 | 一种基于半实物仿真的数据网风险评估方法 |
CN110213077A (zh) * | 2019-04-18 | 2019-09-06 | 国家电网有限公司 | 一种确定电力监控系统安全事件的方法、装置及系统 |
CN111541661A (zh) * | 2020-04-15 | 2020-08-14 | 全球能源互联网研究院有限公司 | 基于因果知识的电力信息网络攻击场景重构方法及系统 |
Non-Patent Citations (1)
Title |
---|
JU YANG等: "A Multi-step Attack Detection Framework for the Power System Network", 《INTERNATIONAL CONFERENCE ON DATA SCIENCE IN CYBERSPACE》, 1 July 2022 (2022-07-01), pages 1 - 8, XP034200445, DOI: 10.1109/DSC55868.2022.00008 * |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115801458A (zh) * | 2023-02-02 | 2023-03-14 | 南京赛宁信息技术有限公司 | 一种针对多步攻击的实时攻击场景重构方法、系统与设备 |
CN115801458B (zh) * | 2023-02-02 | 2023-05-12 | 南京赛宁信息技术有限公司 | 一种针对多步攻击的实时攻击场景重构方法、系统与设备 |
CN115842684A (zh) * | 2023-02-21 | 2023-03-24 | 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) | 一种基于mdata子图匹配的多步攻击检测方法 |
CN116318929A (zh) * | 2023-03-07 | 2023-06-23 | 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) | 一种基于安全告警数据的攻击策略抽取方法 |
CN116318929B (zh) * | 2023-03-07 | 2023-08-29 | 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) | 一种基于安全告警数据的攻击策略抽取方法 |
CN116756272A (zh) * | 2023-06-20 | 2023-09-15 | 广州大学 | 面向中文威胁报告的att&ck模型映射方法及装置 |
CN116756272B (zh) * | 2023-06-20 | 2024-02-23 | 广州大学 | 面向中文威胁报告的att&ck模型映射方法及装置 |
CN116781429A (zh) * | 2023-08-24 | 2023-09-19 | 国网冀北电力有限公司 | 一种电力系统隐形攻击的检测方法、装置及设备 |
CN116781429B (zh) * | 2023-08-24 | 2023-10-31 | 国网冀北电力有限公司 | 一种电力系统隐形攻击的检测方法、装置及设备 |
CN117220961A (zh) * | 2023-09-20 | 2023-12-12 | 中国电子科技集团公司第十五研究所 | 一种基于关联规则图谱的入侵检测方法及装置 |
CN117220961B (zh) * | 2023-09-20 | 2024-05-07 | 中国电子科技集团公司第十五研究所 | 一种基于关联规则图谱的入侵检测方法、装置及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN115459965A (zh) | 一种面向电力系统网络安全的多步攻击检测方法 | |
EP3107026B1 (en) | Event anomaly analysis and prediction | |
CN110213226B (zh) | 基于风险全要素辨识关联的网络攻击场景重建方法及系统 | |
CN103226675B (zh) | 一种分析入侵行为的溯源系统及方法 | |
CN115883213B (zh) | 基于连续时间动态异质图神经网络的apt检测方法及系统 | |
CN115643035A (zh) | 基于多源日志的网络安全态势评估方法 | |
CN113904881A (zh) | 一种入侵检测规则误报处理方法和装置 | |
Shukla et al. | UInDeSI4. 0: An efficient Unsupervised Intrusion Detection System for network traffic flow in Industry 4.0 ecosystem | |
Wang et al. | Maddc: Multi-scale anomaly detection, diagnosis and correction for discrete event logs | |
CN116074092B (zh) | 一种基于异构图注意力网络的攻击场景重构系统 | |
JI et al. | Log Anomaly Detection Through GPT-2 for Large Scale Systems | |
CN113132414B (zh) | 一种多步攻击模式挖掘方法 | |
CN115632821A (zh) | 基于多种技术的变电站威胁安全检测及防护方法及装置 | |
Alserhani | A framework for multi-stage attack detection | |
CN113032774B (zh) | 异常检测模型的训练方法、装置、设备及计算机存储介质 | |
CN114697087A (zh) | 一种基于报警时序的报警关联方法 | |
CN114124580A (zh) | 一种基于Slater社会选择理论的网络入侵检测方法 | |
KR100961992B1 (ko) | 마르코프 체인을 이용한 사이버 범죄 행위 분석 방법, 그장치 및 이를 기록한 기록매체 | |
Yang et al. | A Multi-step Attack Detection Framework for the Power System Network | |
CN117220961B (zh) | 一种基于关联规则图谱的入侵检测方法、装置及存储介质 | |
CN117540372B (zh) | 智能学习的数据库入侵检测与响应系统 | |
King et al. | EdgeTorrent: Real-time Temporal Graph Representations for Intrusion Detection | |
CN115514582B (zh) | 基于att&ck的工业互联网攻击链关联方法及系统 | |
Wei et al. | Extracting novel attack strategies for industrial cyber-physical systems based on cyber range | |
CN111224933B (zh) | 一种模拟盗用敏感数据感知潜伏性apt攻击的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |